Тавис Орманди (), төслийг боловсруулж буй Google-ийн аюулгүй байдлын судлаач , Линукс програмуудад ашиглахын тулд Windows-д зориулж эмхэтгэсэн DLL файлуудыг зөөвөрлөх зорилготой. Төсөл нь PE/COFF форматаар DLL файлыг ачаалж, түүнд тодорхойлсон функцуудыг дуудах боломжтой давхаргын номын санг хангадаг. PE/COFF ачаалагч нь код дээр суурилдаг . Төслийн код GPLv2 дагуу лицензтэй.
LoadLibrary нь номын санг санах ойд ачаалах, одоо байгаа тэмдэгтүүдийг импортлох, Линукс програмыг dlopen маягийн API-ээр хангадаг. Plug-in кодыг gdb, ASAN болон Valgrind ашиглан дибаг хийх боломжтой. Гүйцэтгэх явцад дэгээ холбож, засвар хийх замаар гүйцэтгэх кодыг тохируулах боломжтой (ажлын үеийн нөхөөс). C++-д онцгой тохиолдлуудыг зохицуулах, задлахыг дэмждэг.
Төслийн зорилго нь Linux-д суурилсан орчинд DLL номын сангуудын өргөтгөх боломжтой, үр ашигтай тархсан fuzzing тестийг зохион байгуулах явдал юм. Windows дээр бүдгэрүүлэх, хамрах хүрээг шалгах нь тийм ч үр дүнтэй биш бөгөөд ихэвчлэн Windows-ийн тусдаа виртуалчлагдсан жишээг ажиллуулах шаардлагатай байдаг, ялангуяа цөм болон хэрэглэгчийн орон зайг хамарсан вирусны эсрэг программ хангамж зэрэг нарийн төвөгтэй бүтээгдэхүүнийг шинжлэхийг оролдох үед. LoadLibrary-ийг ашиглан Google-ийн судлаачид видео кодлогч, вирус сканнер, өгөгдлийг задлах сан, зургийн декодер гэх мэт сул талуудыг хайж байна.
Жишээлбэл, LoadLibrary-ийн тусламжтайгаар бид Windows Defender вирусны эсрэг хөдөлгүүрийг Линукс дээр ажиллуулах боломжтой болсон. Windows Defender-ийн үндэс болсон mpengine.dll-ийг судалснаар янз бүрийн форматын олон тооны боловсронгуй процессорууд, файлын системийн эмуляторууд болон векторуудыг хангах боломжтой хэлний орчуулагчдад дүн шинжилгээ хийх боломжтой болсон. .
LoadLibrary-г мөн тодорхойлоход ашигласан Avast вирусны эсрэг багцад. Энэхүү антивирусын DLL-ийг судлах явцад сканнердах гол үйл явц нь гуравдагч этгээдийн JavaScript кодын гүйцэтгэлийг дуурайхад ашигладаг бүрэн эрхт JavaScript орчуулагчийг багтаасан болохыг олж мэдсэн. Энэ процесс нь хамгаалагдсан хязгаарлагдмал орчинд тусгаарлагдаагүй, эрхийг дахин тохируулахгүй, файлын систем болон тасалдсан сүлжээний траффикаас баталгаажуулаагүй гадаад өгөгдөлд дүн шинжилгээ хийдэг. Энэхүү нарийн төвөгтэй, хамгаалалтгүй үйл явцын аливаа эмзэг байдал нь бүхэл бүтэн системийг алсаас эвдэхэд хүргэж болзошгүй тул LoadLibrary дээр суурилсан тусгай бүрхүүлийг боловсруулсан. Линукс дээр суурилсан орчинд Avast вирусны эсрэг сканнерын эмзэг байдалд дүн шинжилгээ хийх.
Эх сурвалж: opennet.ru